如何設定 Web 註冊 Proxy 頁面的 Kerberos 限制委派
本文提供在 Web 註冊 Proxy 頁面的自訂服務帳戶上實作服務使用者對 Proxy (S4U2Proxy) 或 Kerberos Only 限制委派的逐步指示。
適用於:Window Server 2016、Window Server 2019、Windows Server 2012 R2
原始 KB 編號: 4494313
摘要
本文提供在 S4U2Proxy) 或僅限 Kerberos 的 Web 註冊 Proxy 頁面上,實作服務使用者對 Proxy (的逐步指示。 本文說明下列組態案例:
- 設定自訂服務帳戶的委派
- 設定 NetworkService 帳戶的委派
注意事項
本文所述的工作流程是特定環境特有的。 相同的工作流程可能無法在不同的情況下運作。 不過,原則會維持不變。 下圖摘要說明此環境。
案例 1:設定自定義服務帳戶的限制委派
本節說明當您針對 Web 註冊 Proxy 頁面使用自定義服務帳戶時,如何實作服務使用者對 Proxy (S4U2Proxy) 或僅限 Kerberos 的限制委派。
1.將SPN新增至服務帳戶
將服務帳戶與SPN) (服務主體名稱建立關聯。 如果要執行這項操作,請依照下列步驟執行:
在 [Active Directory 使用者和電腦] 中,連線到網域,然後選取 [PKI PKI>使用者]。
以滑鼠右鍵按兩下服務帳戶 (例如,web_svc) ],然後選取 [ 屬性]。
選取 [屬性 編輯器>servicePrincipalName]。
輸入新的SPN字串,選取 [ 新增 (,如下圖) 所示,然後選取 [ 確定]。
您也可以使用 Windows PowerShell 來設定 SPN。 若要這樣做,請開啟提升許可權的 PowerShell 視窗,然後執行
setspn -s SPN Accountname
。 例如,執行下列命令:setspn -s HTTP/webenroll2016.contoso.com web_svc
2.設定委派
設定 S4U2proxy (Kerberos 只會) 服務帳戶的限制委派。 若要這樣做,請在服務帳戶的 [屬性] 對話框中, (如上一個程式) 所述,選取[>委派信任此使用者僅委派給指定的服務]。 請確定已選取 [僅使用 Kerberos ]。
關閉對話框。
在主控台樹中,選取 [ 計算機],然後選取 Web 註冊前端伺服器的電腦帳戶。
注意事項
此帳戶也稱為「計算機帳戶」。
在計算機帳戶上設定 S4U2self (通訊協定轉換) 限制委派。 若要這樣做,請以滑鼠右鍵按兩下電腦帳戶,然後選取 [屬性>委派>信任這部計算機僅委派給指定的服務]。 選取 [使用任何驗證通訊協定]。
3.建立和系結 Web 註冊的 SSL 憑證
若要啟用 Web 註冊頁面,請建立網站的網域憑證,然後將它系結至默認網站。 如果要執行這項操作,請依照下列步驟執行:
開啟 Internet Information Services (IIS) Manager。
在主控台樹中,選取 [ <HostName]>,然後選取 [ 伺服器證書]。
注意事項
<主機 名> 是前端網頁伺服器的名稱。
在 [ 動作] 功能表中,選取 [ 建立網域憑證]。
建立憑證之後,選取控制台樹狀結構中的 [默認網站 ],然後選取 [ 系結]。
請確定 [埠 ] 已設定為 443。 然後在 [SSL 憑證] 下,選取您在步驟 3 中建立的憑證。
選取 [確定 ] 將憑證系結至埠 443。
4.將 Web 註冊前端伺服器設定為使用服務帳戶
重要事項
請確定服務帳戶是網頁伺服器上 本機系統管理員 或 IIS_Users 群組的一部分。
以滑鼠右鍵按兩下 DefaultAppPool,然後選取 [ 進階設定]。
選 取 [處理模型>識別],選取 [自定義帳戶],然後選取 [ 設定]。 指定服務帳戶的名稱和密碼。
在 [設定認證和應用程式集區識別] 對話框中,選取 [確定]。
在 [ 進階設定] 中,找出 [載入使用者配置檔],並確定其設定為 True。
重新啟動電腦。
案例 2:在 NetworkService 帳戶上設定限制委派
本節說明當您使用 Web 註冊 Proxy 頁面的 NetworkService 帳戶時,如何實作 S4U2Proxy 或僅限 Kerberos 的限制委派。
選擇性步驟:設定要用於連線的名稱
您可以將名稱指派給用戶端可用來連線的 Web 註冊角色。 此設定表示傳入要求不需要知道 Web 註冊前端伺服器的電腦名稱,或是其他路由資訊,例如 CNAME) (DNS 標準名稱。
例如,假設 Web 註冊伺服器的計算機名稱是 Contoso 網域) 中的 WEBENROLLMAC (。 您希望連入連線改用名稱 ContosoWebEnroll。 在此情況下,連線 URL 會是下列專案:
https://contosowebenroll.contoso.com/certsrv
這不會是下列專案:
https://WEBENROLLMAC.contoso.com/certsrv
若要使用這類設定,請遵循下列步驟:
在網域的 DNS 區域檔案中,建立將新連線名稱對應至 Web 註冊角色 IP 位址的別名記錄或主機名記錄。 使用 Ping 工具來測試路由設定。
在先前討論的範例中
Contoso.com
,區域檔案具有將 ContosoWebEnroll 對應至 Web 註冊角色 IP 位址的別名記錄。將新名稱設定為 Web 註冊前端伺服器的 SPN。 如果要執行這項操作,請依照下列步驟執行:
- 在 [Active Directory 使用者和電腦] 中,連線到網域,然後選取 [計算機]。
- 以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶,然後選取 [ 屬性]。
注意事項
此帳戶也稱為「計算機帳戶」。
- 選取 [屬性 編輯器>servicePrincipalName]。
- 輸入 HTTP/<ConnectionName>。<DomainName.com>,選取 [ 新增],然後選取 [ 確定]。
注意事項
在此字串中, <ConnectionName> 是您已定義的新名稱,而 <DomainName> 是網域的名稱。 在範例中,字串是 HTTP/ContosoWebEnroll.contoso.com。
1.設定委派
如果您尚未連線到網域,請立即在 Active Directory 使用者和電腦 中執行此動作,然後選取 [計算機]。
以滑鼠右鍵按下 Web 註冊前端伺服器的電腦帳戶,然後選取 [ 屬性]。
注意事項
此帳戶也稱為「計算機帳戶」。
選 取 [委派],然後選取 [ 信任這部計算機僅委派給指定的服務]。
注意事項
如果您可以保證客戶端在連線到此伺服器時一律會使用 Kerberos 驗證,請選取 [ 僅使用 Kerberos]。 如果某些用戶端會使用其他驗證方法,例如 NTLM 或窗體型驗證,請選取 [使用任何驗證通訊協定]。
2.建立及系結 Web 註冊的 SSL 憑證
若要啟用 Web 註冊頁面,請建立網站的網域憑證,然後將它系結至預設的第一個網站。 如果要執行這項操作,請依照下列步驟執行:
開啟 [IIS 管理員]。
在主控台樹中,選取 [ <HostName]>,然後在執行窗格中選取 [ 伺服器證書 ]。
注意事項
<主機 名> 是前端網頁伺服器的名稱。
在 [ 動作] 功能表中,選取 [ 建立網域憑證]。
建立憑證之後,選取 [ 默認網站],然後選取 [ 系結]。
請確定 [埠 ] 已設定為 443。 然後,在 [SSL 憑證] 下,選取您在步驟 3 中建立的憑證。 選取 [確定 ] 將憑證系結至埠 443。
3.將 Web 註冊前端伺服器設定為使用 NetworkService 帳戶
以滑鼠右鍵按兩下 DefaultAppPool,然後選取 [ 進階設定]。
選 取 [處理模型>識別]。 請確定已選取 [內建帳戶 ],然後選取 [ NetworkService]。 然後,請選取 [確定]。
在 [ 進階屬性] 中,找出 [載入使用者配置檔],然後確定其設定為 True。
重新啟動 IIS 服務。
相關主題
如需這些程式的詳細資訊,請 參閱驗證 Web 應用程式使用者。
如需 S4U2self 和 S4U2proxy 通訊協定延伸模組的詳細資訊,請參閱下列文章:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應